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Kleine Anfrage 

der Abgeordneten Hans-Christian Ströbele, Volker Beck (Köln), Silke Stokar 
von Neuforn, Monika Lazar, Irmingard Schewe-Gerigk, Josef Philip Winkler 
und der Fraktion BÜNDNIS 90/ DIE GRÜNEN 


Kontrolle mutmaßlicher Verstöße gegen das Fernmeldegeheimnis bei der 
Deutschen Telekom AG 


Die in den Medien berichteten mutmaßlichen Verletzungen des Femmeldege- 
heimnisses sowie weiterer Rechtsgüter durch die Deutsche Telekom AG (nach- 
folgend: DTAG) geben Anlass, nach Durchführung und Wirksamkeit vorsorg- 
licher Kontrolle gegen derlei durch die zuständigen Stellen zu fragen. 

Erläuternd zu nachstehenden Fragekomplexen I. bis VI. wird vorbemerkt: 

Zu I. Prüfungen der Bundesnetzagentur bei der DTAG: 

Betreiber von Einrichtungen der Telekommunikation (nachfolgend: TK) wie die 
DTAG sind verpflichtet, „angemessene technische Vorkehrungen oder sonstige 
Maßnahmen zum Schutze 1. des Fernmeldegeheimnisses und personenbezoge- 
ner Daten und 2. der Telekommunikations- und Datenverarbeitungssysteme ge- 
gen unerlaubte Zugriffe zu treffen“ (§109 Abs. 1 des Telekommunikationsgeset- 
zes - TKG) sowie „ein Sicherheitskonzept zu erstellen und dieses der Bundes- 
netzagentur“ unverzüglich nach Aufnahme der Telekommunikationsdienste“ 
vorzulegen. Die Bundesnetzagentur hat das Konzept zu prüfen und kann Män- 
gelbeseitigung verlangen. (§ 109 Abs. 3 TKG). 

Zu II. Verarbeitung von Verbindungs- und Standortdaten auch für DTAG-Zwe- 
cke nur begrenzt zulässig: 

Daten über Telefonverbindungen und Standorte dürfen nur für begrenzte 
Zwecke und für angeordnete Überwachungen erhoben, verwendet und übermit- 
telt werden (§ 88 Abs. 3 TKG, §§ 96 bis 100 TKG). 

Zu 111. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der 
Bundesnetzagentur: 

Die Betreiber öffentlicher Telekommunikationsanlagen haben gemäß § 1 1 0 Abs. 1 
TKG ab Betriebsaufnahme - bei Meidung von Bußgeld bis 500 000 Euro - Ein- 
richtungen zur Telekommunikationsüberwachung vorzuhalten, diesbezügliche 
organisatorische Vorkehrungen zu treffen, beides der Bundesnetzagentur „un- 
verzüglich“ durch Unterlagen nachzuweisen sowie mit dieser einen Termin zur 
obligatorischen Überprüfung zu vereinbaren; diese kann die Bundesnetzagentur 
in begründeten Fällen wiederholen (§ 110 Abs. 1 Nr. 4, Abs. 5 TKG). Gemäß § 14 
der Telekommunikations-Überwachungsverordnung (TKÜV) hat der Betreiber 
die dabei nachzuweisende Überwachungstechnik „nach dem Stand der Technik 
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gegen unbefugte Inanspruchnahme zu schützen“. Medien berichteten, dass dies 
offenbar im Fall der DTAG nicht effektiv umgesetzt worden sei. 

Sofern der Betreiber nicht all diese Verpflichtungen erfüllt, kann die Bundes- 
netzagentur gemäß § 115 Abs. 3 TKG erforderlichenfalls den Betrieb von An- 
lagen einschränken, untersagen oder das „geschäftsmäßige Erbringen des be- 
treffenden Telekommunikationsdienstes ganz oder teilweise untersagen“. 

Zu IV. Protokollierung aller Datenzugriffe durch DTAG und Erkeimtnisse der 
Bundesnetzagentur: 

Ein TK- Anlagenbetreiber wie die DTAG hat gemäß § 16 Abs. 1 TKÜV 
„sicherzustellen, dass jede Anwendung seiner Überwachungseinrichtungen bei 
der Eingabe der für die technische Umsetzung erforderlichen Daten automa- 
tisch lückenlos protokolliert wird. Unter Satz 1 fallen auch Anwendungen für 
unternehmensinteme Testzwecke.“ Diese Protokollierungen müssen technisch 
und organisatorisch gegen Löschung gesichert sein und dürfen erst nach 2 Jah- 
ren sowie nur durch besonderes Datenprüfungspersonal gelöscht werden, wo- 
bei Zeitpunkt und Durchführender zu notieren sind (§ 16 Abs. 2 TKÜV). 

Ein TK-Anlagenbetreiber wie die DTAG hat diese Überwachungs- und Test- 
protokolle mindestens quartalsweise auszuwerten und „hat der Bundesnetz- 
agentur spätestens zum Ende eines jeden Kalendervierteljahres eine Kopie der 
Prüfergebnisse zu übersenden. Die Bundesnetzagentur bewahrt diese Unter- 
lagen, die sie bei der Einsichtnahme nach Absatz 4 verwenden kann, bis zum 
Ende des folgenden Kalenderjahres auf.“ (§17 Abs. 1 TKÜV). 

Zu V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu 
Tätigkeitsbeschränkungen: 

Gemäß § 128 Abs. 1 TKG kann die Bundesnetzagentur „alle Ermittlungen füh- 
ren und alle Beweise erheben, die erforderlich sind.“ 

Die Bundesnetzagentur kann zur Umsetzung der gesetzlichen Verpflichtungen 
jederzeit gemäß § 127 TKG Auskünfte verlangen und dazu während der 
üblichen Bürozeiten die Räume des betroffenen Unternehmen betreten und dort 
Akten einsehen. 

Die Fragesteller gehen davon aus, dass die Bundesnetzagentur spätestens nach 
den Medienberichten über die Vorfälle bei der DTAG festgestellt haben müsste, 
dass es dort Probleme gibt. Gemäß § 126 Abs. 1 TKG könnte bzw. müsste nun 
die Bundesnetzagentur die Feststellung treffen, „dass ein Unternehmen seine 
Verpflichtungen nach diesem Gesetz oder auf Grund dieses Gesetzes nicht 
erfüllt“ und das Unternehmen zur Stellungnahme sowie Abhilfe mit Frist- 
setzung unter Androhung von Zwangsgeld bis zu 500 000 Euro auffordem. 

Gemäß § 126 Abs. 3 TKG gilt: „Verletzt das Unternehmen seine Verpflichtun- 
gen in schwerer oder wiederholter Weise oder kommt es den von der Bundes- 
netzagentur zur Abhilfe angeordneten Maßnahmen nach Absatz 2 nicht nach, 
so kann die Bundesnetzagentur ihm die Tätigkeit als Betreiber von Telekom- 
munikationsnetzen oder Anbieter von Telekommunikationsdiensten unter- 
sagen.“ 

Gemäß §126 Abs. 4 TKG „kann die Bundesnetzagentur in Abweichung von 
den Verfahren nach den Absätzen 1 bis 3 vorläufige Maßnahmen ergreifen“, 
wenn „durch die Verletzung von Verpflichtungen die öffentliche Sicherheit und 
Ordnung unmittelbar und erheblich gefährdet“ wird. 
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Zu VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den Informa- 
tionsverbund Berlin-Boim (IVBB) der Obersten Bundesbehörden: 

Der IVBB des Bundes zur Vernetzung der Obersten Bundesbehörden, einer der 
Grundpfeiler für die Verwaltungsmodemisierung im Rahmen der Initiative 
BundOnline 2005, wurde seinerzeit durch die DTAG realisiert. Der im Auftrag 
der DTAG durch ein Karlsruher Unternehmen gebaute zentrale TK-Server für 
den IVBB in der Berliner Wilhelmstraße wird dort bis heute durch die Tele- 
kom-Zentrale/Regierungsdienste überwacht. Daher ist zu befürchten, dass die 
zutage getretenen Sicherheitsmängel und Datenschutzverletzungen bei der 
DTAG sich nachteilig auch auf die Kommunikations- und Datensicherheit im 
IVBB auswirken können bzw. schon ausgewirkt haben, insbesondere in Form 
eines Missbrauchs von IVBB-Telekommunikationsdaten seitens Personen aus 
dem DTAG-Bereich. 

Dies vorausgeschickt, fragen wir: 

1. Prüfungen der Bundesnetzagentur bei der DTAG 

1. Hat die Bundesnetzagentur die Konzepte zum Schutz des Femmeldege- 
heimnisses der DTAG geprüft? 

2. Welche Ergebnisse hatte dies? 

3. Warm fand die letzte Prüfung statt? 

4. Worauf bezog sich diese? 

5. Gab es dabei Beanstandungen? 

Weim ja, welche? 

6. Wie viele Prüfungen von Diensten bzw. TK- Komponenten gemäß § 109 
TKG führte die Bundesnetzagentur seit 2000 bei der DTAG durch? 

7. Welche Konzepte hat die DTAG der Bundesnetzagentur in diesem Zeit- 
raum zu welchen Diensten bzw. Komponenten vorgelegt? 

8. Inwieweit trifft nach Erkenntnissen der Bundesregierung bzw. der Bundes- 
netzagentur aufgrund aktueller Medienberichte, denen zufolge die DTAG 
nun den ehemaligen Bundesrichter, Gerhard Schäfer, erst jetzt mit der Er- 
stellung eines Sicherheitskonzepts beauftrage, die Schlussfolgerung zu, 
dass die DTAG bisher ihren dahingehenden Pflichten gemäß § 1 09 Abs. 3 
TKG nicht nachkam? 

9. Inwieweit treffen nach Erkenntnissen der Bundesregierung bzw. der Bun- 
desnetzagentur aktuelle Medienberichte zu (z. B. SPIEGEL ONLINE 
5. Juni 2008), wonach interne Untersuchungen des Telekom-Konzerns er- 
gaben, dass 

a) bei dem Unternehmen T-Mobile Deutschland GmbH wegen unzurei- 
chender Schutzmaßnahmen auch unberechtigte Mitarbeiter Zugang zu 
Kundendaten hatten, die dem Fernmeldegeheimnis gemäß § 88 TKG 
unterliegen, 

b) es Prüfern bei simulierten Hacker-Attacken auf die IT-Infrastruktur ge- 
lang, auf finanzielle oder kundenbezogene Daten zuzugreifen und diese 
zu manipulieren? 

10. Sofern der Bundesregierung bzw. der Bundesnetzagentur entsprechende 
Erkenntnisse vorliegen: 

a) In welcher Weise und zu welchem Zeitpunkt wurden diese erlangt? 

b) Welche Konsequenzen wurden daraus gezogen? 
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II. Verarbeitung von Verbindungs- und Standortdaten auch für DTAG-Zwecke 
nur begrenzt zulässig 

1 1 . Gab es für die Bundesnetzagentur oder — nach Kenntnis der Bundesregie- 
rung - für den Bundesdatenschutzbeauftragten seit 2000 bei der DTAG 
Anhaltspunkte für 

a) Verstöße gegen § 88 TKG, 

b) eine gemäß den §§96 bis 100 TKG zuwider laufende Nutzung von 
Daten bei der DTAG, 

c) den Medienberichten zu entnehmenden Verdacht der unzulässigen 
Nutzung von Daten aus Systemen, die ausschließlich zu Zwecken der 
TK-Überwachung genutzt werden dürfen? 

12. Hat die Bundesnetzagentur aufgrund ihrer Zuständigkeiten dazu eigene 
Untersuchungen angestellt? 

13. Wenn ja, mit welchem Ergebnis? 

14. Hat nach Keimtnis der Bundesregierung der Bundesdatenschutzbeauftragte 
seit 2000 im Rahmen seiner Zuständigkeiten gemäß § 1 1 5 Abs. 4 TKG und 
§ 25 des Bundesdatenschutzgesetzes (BDSG) Kontrollen bei der DTAG 
angestellt? 

15. Weim ja, mit welchem Ergebnis? 

III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der 
Bundesnetzagentur 

16. Hat die Bundesnetzagentur gemäß ihrer Verpflichtung aus § 115 Abs. 1 Satz 3 
TKG die Anlage der DTAG zur Telekommunikationsüberwachung und Da- 
tenübermittlung auf die oben genannten Vorgaben hin geprüft, vor allem auf 
den Schutz vor unbefugter Inanspruchnahme? 

17. Weim ja, warm erstmals, und mit welchem Ergebnis? 

18. Wann prüfte die Bundesnetzagentur dies zuletzt? 

Mit welchem Ergebnis? 

IV. Protokollierung aller Datenzugriffe durch DTAG und Erkeimtnisse der 
Bundesnetzagentur 

19. a) Hat die DTAG der Bundesnetzagentur die Prülprotokolle durchgehend 

ordnungsgemäß übermittelt? 

b) Wenn nein, inwieweit nicht? 

20. a) Beachtete die DTAG nach Erkenntnissen der Bundesnetzagentur die 

oben genannten Löschungsvorschriften? 

b) Wenn nein, inwieweit nicht? 

c) Enthalten nach Erkenntnissen der Bundesnetzagentur diejenigen Proto- 
kolle, die jetzt noch ungelöscht bei der DTAG bzw. der Bundesnetz- 
agentur vorhanden sein müssten über Kommunikation bis mindestens 
Juni 2006, auch Details über die von den Medien nun berichteten Über- 
wachungsfälle bei der DTAG? 

d) Falls nein, warum nicht? 

e) Welche Maßnahme hat die Bundesnetzagentur ergriffen und/oder wird 
sie kurzfristig ergreifen, um zu Beweiszwecken über diese Vorfälle die 
planmäßige Löschung der Protokollierungen bei der DTAG zu verhin- 
dern und die Daten zunächst „einzufrieren“? 
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21. a) Hat die Bundesnetzagentur die durch die DTAG übermittelten Proto- 

kollkopien stets geprüft? 

b) Hat sie darin Unregelmäßigkeiten entdeckt? 

c) Wenn ja, wann je welche? 

V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätig- 
keitsbeschränkungen 

22. Welche Ermittlungen hat die Bundesnetzagentur nach Bekaimtwerden der 
Rechtsverstöße beim Schutz des Femmeldegeheimnisses bei der DTAG 
eingeleitet? 

23 . Gab es seit 2000 Untersuchungen dort, und weim ja, mit welchem Ergebnis? 

24. Hat der Bundesdatenschutzbeauftragte bezüglich des Schutzes personen- 
bezogener Kundendaten bei der DTAG um Auskünfte gebeten? 

25. Teilt die Bundesregierang die Auffassung der Fragesteller, dass 

a) der Eingriff in das Fernmeldegeheimnis bei der DTAG nach gegenwär- 
tigem Kenntnisstand als so schwere Verletzung ihrer Verpflichtungen 
nach dem TKG zu sehen ist, dass auch vorläufige Maßnahmen der Bun- 
desnetzagentur nach § 126 Abs. 3 TKG durchaus rechtfertigen könnten, 

b) die DTAG durch ihre „Verletzung von Verpflichtungen“ die „öffentliche 
Sicherheit und Ordnung unmittelbar und erheblich“ gefährdet hat im 
Siime des § 126 Abs. 4 TKG zumindest dann, sofern die DTAG so in das 
Grundrecht nicht nur einzelner Betroffener eingriff, sondern ebenso einer 
größeren Zahl von Personen/Kunden? 

26. Welche unmittelbaren Maßnahmen gemäß § 126 TKG hat die Bundesnetz- 
agentur gegenüber der DTAG ergriffen? 

27. Hält die Bundesregierung eine vollständige oder teilweise Untersagung der 
Tätigkeit der DTAG als Betreiber von TK-Netzen und Anbieter von Tele- 
kommunikationsdiensten für noch vermeidbar? 

Weim ja, wie, und unter welchen Voraussetzungen? 

VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den IVBB der 
obersten Bundesbehörden 

28. Soweit die DTAG am Betrieb des IVBB maßgeblich beteiligt ist, sieht die 
Bundesregierung nun die Sicherheit des IVBB vor Überwachung noch als 
gewährleistet an? 

Wenn ja, warum? 

29. Welche Sicherheitsmängel und Datenschutzverletzungen im IVBB, insbe- 
sondere solcher, die durch Personen der DTAG veranlasst oder herbeige- 
führt wurden, sind der Bundesregierung bzw. der Bundesnetzagentur seit 
2000 im Einzelnen bekannt geworden? 

30. In welchen Abständen werden die Telekommunikations- Verbindungsdaten 
im Rahmen des IVBB derzeit gelöscht? 

31. Welche Verbesserungen von Kontrollmöglichkeiten bezüglich etwaiger 
heimlicher Überwachungen von IVBB-Daten hält die Bundesregierung für 
nutzbringend? 

32. Wie kann im IVBB — insbesondere zugunsten wirksamer Kontrollmöglich- 
keiten durch die Bundesnetzagentur — erreicht werden 

a) eine bessere Kontrollierbarkeit der Netz-Administratoren, 
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b) soweit noch nicht praktiziert, die vollständige Protokollierung von (ver- 
suchten) Zugriffen bzw. Abrufen von Verbindungsdaten, 

c) wirksamere technische, organisatorische, personelle und vertragliche 
Vorkehrungen gegen ähnlichen Datenmissbrauch im IVBB, wie bei der 
DTAG mutmaßlich geschehen? 

33. Welche Bedeutung misst die Bundesregierung bezüglich der Sicherheit per- 
sonenbezogener und vor allem Kommunikationsverbindungsdaten im IVBB 
dem möglichen Einstieg ausländischer Investoren in die DTAG bei, vor 
allem der russischen Firma SISTEMA (vgl. DER SPIEGEL Nr. 23/2008 
S. 33) auch angesichts strategischer Erkeimtnisbegehren rassischer Sicher- 
heitsbehörden? 


Berlin, den 18. Juni 2008 

Renate Künast, Fritz Kuhn und Fraktion 
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